GoAheadWeb伺服器曝安全漏洞,上萬臺物聯網裝置受影響

Editor發表於2019-12-05
GoAheadWeb伺服器曝安全漏洞,上萬臺物聯網裝置受影響

有些產品是以其高難度的技術手段吸引使用者。


而有些產品則獨闢蹊徑。


主打最簡單的程式碼,以便捷性和快速度取勝。



GoAhead是什麼?


GoAhead Web伺服器是世界上最受歡迎的物聯網微型嵌入式Web伺服器,應用於數億個物聯網智慧裝置中。


GoAhead主要特點是開源、輕巧、功能強大,程式碼簡潔明瞭,可移植性強,能夠在Linux、VxWorks和Windows等多個平臺使用,它可以執行在印表機、路由器、交換機、IP電話等聯網裝置上,深受各大硬體廠商的歡迎。


在其產品主頁上,可以看到目前GoAhead的被許多大型企業部署在產品中,例如甲骨文(Oracle)、惠普(HP)、西門子(Siemens)、佳能(Canon )、IBM、摩托羅拉(Motorola)等等。


GoAheadWeb伺服器曝安全漏洞,上萬臺物聯網裝置受影響


然而近期,研究人員發現GoAhead Web伺服器存在兩個新型漏洞。


漏洞詳情



關於這兩個漏洞的詳細資訊,如下所示:

CVE-2019-5096

該漏洞屬於關鍵程式碼執行漏洞,CVSS評分為9.8,攻擊者可利用此漏洞在易受攻擊的裝置上執行惡意程式碼並控制該裝置,影響的GoAhead Web Server版本有v5.0.1,v.4.1.1和v3.6.5。

在裝置處理特製HTTP請求時,攻擊者可利用該漏洞使伺服器上的堆結構破壞,從而導致程式碼執行攻擊。

CVE-2019-5097

該漏洞位於GoAhead Web伺服器的元件中,可導致拒絕服務攻擊。攻擊者可同樣傳送HTTP請求,以GET或POST請求的形式在不需要身份驗證的情況下消耗伺服器資源,導致程式中的無限迴圈,最終造成100%的CPU利用率。


研究人員在今年8月下旬向GoAhead Web伺服器的開發人員報告了這兩個漏洞,供應商已於兩週前解決了這些問題併發布了安全補丁,如果你有使用GoAhead Web伺服器,請儘快下載最新補丁。



* 本文由看雪編輯 LYA 編譯自 The Hacker News,轉載請註明來源及作者。

* 原文連結:

https://thehackernews.com/2019/12/goahead-web-server-hacking.html

相關文章